Tramite questa rubrica cerchiamo di dare una lettura degli avvenimenti connessi con le vulnerabilità quasi a prescindere dalle tecnicità, peraltro disponibili su varie fonti in rete. Il nostro scopo è comprendere e riferire sulla direzione in cui questo aspetto della sicurezza informatica si muova. Questo mese vogliamo volgere l’attenzione su un’opportunità che almeno fino alla data di consegna di questo articolo (5 settembre) non si è verificata. E’ la storia del “worm mancato” dell’estate 2006.
Un possibile codice maligno basato sulla vulnerabilità di Windows catalogata come MS06-040,
(http://www.microsoft.com/italy/technet/security/bulletin/ms06-040.mspx) che finora è exploitabile su tutti i sistemi operativi di Microsoft fino a Windows XP SP1 e Windows 2003 Retail, codice che avrebbe potuto avere conseguenze simili a Blaster (basato sulla vulnerabilità DCOM - MS03-26 http://www.microsoft.com/italy/technet/security/bulletin/ms03-026.mspx)
La tecnica di exploit è molto efficace poiché funziona su più sistemi operativi diversi per lingua e/o service pack. Le premesse quindi c’erano tutte: agiva su sistemi molto diffusi; sarebbe stato diretto ad un servizio aperto per default e si poteva contare che per le residue macchine NT ancora in servizio non sarebbe esistita una patch. Aggiungiamo anche che il periodo ferragostano presupponeva un minor controllo dei sistemi.
Si era scomodato perfino il Dipartimento della Sicurezza Nazionale americana http://www.dhs.gov/dhspublic/display?content=5789 e da quel giorno (9 agosto) tutti in ansia.Eppure non è successo nulla di grave.

Il preavviso, limitato, c’è stato. I sistemisti sono stati consapevoli. I sistemi patchati. Le porte sui firewall chiuse. Le aziende di sicurezza si sono attivate. E probabilmente c’è stata anche una reazione “sociale”: i writer di codice maligno sono stati bruciati, o meglio writer meno bravi hanno rubato loro il tempo, hanno alzato un gran polverone e hanno innescato la reazione di chi si occupa di difesa informatica prima del pericolo vero e proprio, facendo perdere l’opportunità.
La rubrica, per dovere di cronaca, deve riportare di Botnet come Mocbot che hanno sfruttato questa vulnerabilità per riuscire ad entrare nei sistemi target, ma anche in questo caso la diffusione è stata circoscritta. Certo che stavolta è “andata bene”, ma la reazione che c’è stata: il patching, la disponibilità dei rimedi, la sorveglianza sui sistemi dovrebbero essere routine. Tecniche innovative per exploitare Windows 2003 SP1 o Windows XP SP2 potrebbero essere più difficili da affrontare (prevenire) con successo.
E comunque non è detto che qualcuno più abile nello scrivere il codice non smentisca questo articolo domani, o tra un mese…